Incognify
AnmeldenKostenlos testen
Alle Beiträge
Analyse 1. April 2026 8 Min. Lesezeit

April, April – die grössten DSG- und DSGVO-Bussen und was KMU daraus lernen

Am 1. April darf man Witze machen — aber Bussgelder und Strafen für persönliche Daten in Cloud-KI sind kein Scherz. Samsung, Anwaltskanzleien, Kliniken — überall laden Mitarbeiter sensible Daten in ChatGPT. Die Konsequenzen: In der EU/EWR drohen Millionenbussgelder nach Art. 83 DSGVO, in der Schweiz strafrechtliche Sanktionen gegen Einzelpersonen mit Bussen bis CHF 250'000 (Art. 60–66 DSG). Incognify verhindert genau das.

Wichtiger Unterschied CH vs. EU/EWR: Die DSGVO (Art. 83) richtet sich mit Bussen bis EUR 20 Mio. oder 4 % des Jahresumsatzes gegen Unternehmen. Das Schweizer DSG (Art. 60–66) hingegen bedroht verantwortliche Einzelpersonen mit Bussen bis CHF 250'000. In Österreich gilt die DSGVO direkt, ergänzt durch das österreichische DSG (DSG AT) und die Zuständigkeit der Datenschutzbehörde (DSB).

Kein Witz: Echte Bussgelder und Strafen für persönliche Daten in Cloud-KI

Die Zahlen sprechen für sich: Allein 2024 und 2025 wurden europaweit Bussgelder in dreistelliger Millionenhöhe für Datenschutzverstösse im Zusammenhang mit KI-Diensten verhängt. Und das betrifft nicht nur Grosskonzerne — auch KMU geraten zunehmend ins Visier der Aufsichtsbehörden.

CHF 250'000

Max. Busse pro Person (DSG CH, Art. 60–66)

EUR 20 Mio.

Max. Bussgeld pro Unternehmen (DSGVO, Art. 83)

4 %

des Jahresumsatzes (DSGVO-Alternative)

In der Schweiz ist die Situation besonders brisant: Der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat wiederholt klargestellt, dass die Nutzung von Cloud-KI-Diensten ohne angemessene Schutzmassnahmen gegen das DSG verstossen kann. Die persönliche Strafbarkeit nach Art. 60–66 DSG bedeutet, dass nicht das Unternehmen, sondern die verantwortliche Person zur Kasse gebeten wird.

In Deutschland und Österreich ermitteln die Landesdatenschutzbehörden bzw. die DSB immer häufiger gegen Unternehmen, die personenbezogene Daten ohne Rechtsgrundlage an Cloud-KI-Anbieter übermitteln. Art. 83 DSGVO sieht dafür Bussgelder in Millionenhöhe vor.

Fall 1: Samsung-Mitarbeiter laden Code mit persönlichen Daten in ChatGPT

Einer der bekanntesten Fälle: Im Frühjahr 2023 luden Samsung-Ingenieure vertraulichen Quellcode und interne Meeting-Protokolle in ChatGPT. Der Code enthielt persönliche Daten von Mitarbeitenden und Kunden — Namen, E-Mail-Adressen, interne Kennungen.

Die Folgen waren gravierend: Samsung verbot daraufhin die Nutzung von ChatGPT unternehmensweit. Doch das Verbot kam zu spät — die Daten waren bereits an die OpenAI-Server übermittelt worden und konnten nicht mehr zurückgeholt werden.

Was hier schiefging:

Keine automatische Prüfung vor dem Upload — persönliche Daten gelangten ungefiltert in die Cloud
Kein Bewusstsein bei Mitarbeitenden, dass Code personenbezogene Daten enthalten kann
Keine technische Massnahme, die den Upload hätte verhindern können
Nachträgliches Verbot statt präventiver Schutz

Rechtliche Einordnung: Ein solcher Fall hätte in der Schweiz strafrechtliche Konsequenzen nach Art. 60–66 DSG gegen die verantwortlichen Personen nach sich ziehen können — mit Bussen bis CHF 250'000 pro Verstoss. In Deutschland und Österreich drohen dem Unternehmen Bussgelder nach Art. 83 DSGVO: bis EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes.

Fall 2: Vertrauliche Patientendaten in Cloud-KI

Im Gesundheitswesen häufen sich die Fälle: Ärzte und Therapeuten nutzen ChatGPT, um Arztbriefe schneller zu formulieren oder Therapieberichte zusammenzufassen. Dabei gelangen regelmässig besonders schützenswerte Personendaten in die Cloud — Diagnosen, Medikationen, Patientennamen und sogar AHV-Nummern.

Besonders schützenswerte Personendaten geniessen nach Art. 5 lit. c DSG und Art. 9 DSGVO den höchsten Schutz. Ihre Bearbeitung ist grundsätzlich untersagt — mit sehr engen Ausnahmen. Der Upload in eine Cloud-KI gehört nicht zu diesen Ausnahmen.

Patientennamen und Geburtsdaten — direkte Identifikatoren
Diagnosen und ICD-Codes — besonders schützenswert nach DSG Art. 5 / DSGVO Art. 9
Medikation und Dosierungen — Rückschlüsse auf Gesundheitszustand
AHV-Nummern / Sozialversicherungsnummern — eindeutige Personenidentifikation
Therapieverläufe — höchst sensible Gesundheitsdaten
Kontaktdaten von Angehörigen — personenbezogene Daten Dritter

Zusätzlich zum Datenschutzrecht droht im Gesundheitswesen die Verletzung des Berufsgeheimnisses: Art. 321 StGB (Schweiz) und § 203 StGB (Deutschland/Österreich) sehen Freiheitsstrafen bis zu drei Jahren vor. Eine Busse nach DSG oder DSGVO kommt dann noch obendrauf.

Was passiert, wenn persönliche Daten an ChatGPT gehen?

Sobald Sie einen Text mit persönlichen Daten an einen Cloud-KI-Dienst senden, geschieht Folgendes:

1

Datenübermittlung ins Ausland

Die Daten verlassen Ihren Rechtsraum und werden auf Servern verarbeitet, die häufig in den USA stehen. Nach Art. 16–18 DSG und Art. 44–49 DSGVO ist dies nur unter strengen Voraussetzungen zulässig.

2

Kontrollverlust über die Daten

Sie haben keine Garantie, dass die Daten gelöscht werden. Viele Anbieter behalten sich das Recht vor, eingegebene Daten für das Training ihrer Modelle zu verwenden.

3

Keine Rückholmöglichkeit

Einmal übermittelte Daten können nicht zurückgeholt werden. Ein «Recht auf Löschung» nach Art. 17 DSGVO oder Art. 32 DSG ist bei KI-Trainingsdaten praktisch nicht durchsetzbar.

4

Meldepflicht bei Datenpanne

Wird der Vorfall bekannt, greift die Meldepflicht: Art. 24 DSG (an den EDÖB) bzw. Art. 33 DSGVO (an die zuständige Aufsichtsbehörde) — innerhalb von 72 Stunden.

Die Lösung: Automatische Anonymisierung vor dem Upload

Der sicherste Weg, Cloud-KI datenschutzkonform zu nutzen, ist einfach: Persönliche Daten müssen vor dem Upload erkannt und entfernt werden — automatisch und zuverlässig. Genau das macht Incognify.

Incognify erkennt persönliche Daten in Texten und Dokumenten automatisch — Namen, Adressen, AHV-Nummern, IBAN, Diagnosen und dutzende weitere Kategorien. Die erkannten Daten werden anonymisiert, bevor sie an einen Cloud-KI-Dienst gesendet werden. Das Ergebnis: Sie nutzen die volle Leistung von ChatGPT & Co. — ohne Datenschutzrisiko.

Was Incognify erkennt

  • Namen, Adressen, Telefonnummern
  • AHV-/Sozialversicherungsnummern
  • IBAN, Kreditkartennummern
  • E-Mail-Adressen, Geburtsdaten
  • Diagnosen, Medikationen
  • Branchenspezifische Identifier

Warum das DSG-/DSGVO-konform ist

  • Keine personenbezogenen Daten verlassen Ihre Infrastruktur
  • Jeder Anonymisierungsschritt wird dokumentiert
  • Nachweisbare Compliance für EDÖB, DSB und Landesdatenschutzbehörden
  • Erfüllt Art. 7 DSG / Art. 25 DSGVO (Privacy by Design)

Fazit: Datenschutz ist kein Aprilscherz

Cloud-KI nutzen, ohne Datenschutzrisiko? Das ist kein Traum — das ist Incognify. Ob Bussgelder nach Art. 83 DSGVO in Deutschland und Österreich oder persönliche Strafbarkeit nach Art. 60–66 DSG in der Schweiz — Incognify schützt vor beidem, indem persönliche Daten automatisch erkannt und anonymisiert werden, bevor sie Ihre Infrastruktur verlassen.

Schützen Sie sich, Ihre Mitarbeitenden und Ihr Unternehmen — mit automatischer Anonymisierung für jeden Cloud-KI-Workflow.

Das könnte dich auch interessieren

Teilen

Sprechen Sie mit uns

Fragen zur Einführung, zum Datenschutz oder zu Enterprise-Optionen? Schreiben Sie uns — wir beraten Sie zu Pilotprojekt, Sicherheitsprüfung und Rollout.

E-Mail: mail@incognify.appWeb: incognify.appMobil:

Newsletter

Bleiben Sie informiert über Datenschutz-Updates, neue Funktionen und praxisnahe Tipps zur sicheren Datenverarbeitung in der Schweiz, Deutschland und Österreich.